Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


VirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligne

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
20.08.2016 - 00h00 - Paris - Ajouté le comportement de la Sandbox utilisée par VirusTotal

VirusTotal est un service gratuit, en ligne, permettant de faire analyser un fichier par une soixantaine d'antivirus, dont les plus grands, instantanément et simultanément. Il est possible de demander l'analyse d'un lien de téléchargement, avant le téléchargement. A ce moment-là, une information sur le site lui-même est donnée, du type " Est-ce un site de confiance ? ", avant l'analyse du fichier.

VirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligneVirusTotalVirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligne

VirusTotal - Antivirus multimoteurs en ligne.

Analyse multi-antivirus d'un fichier (Upload ou URL)

Analyse antivirus gratuite, en ligne, immédiate, d'un fichier ou d'une archive compressée multi-fichiers (ou d’une URL (Web-Réputation d'un domaine), ou d’une URL de fichier avant téléchargement, ou d’un condensat.

Metascan - Metadefender56 antivirus
Metascan - Metadefender64 MO maximum
Metascan - MetadefenderEn cas d'archive multi-fichiers, résultats d'analyses individuelles de chaque fichier de l'archive.

Les archives compressées doivent utiliser l'algorithme Zip (compresseur gratuit : 7-Zip). Pour passer au travers de vos propre défenses temps réel, l'archive doit être protégée par un mot de passe. Celui-ci doit être, au choix : infected, password, test, 1234, virustotal, virus ou compressed.

Puisque, parmi les solutions utilisées, plusieurs sont multi-plateformes, les binaires exécutables à analyser peuvent être de divers types dont exécutables Windows, applications Android, PDFs, images, codes javascript, etc. ... VirusTotal est un service de Google.

  • Installez HashTab (gratuit) pour calculer des condensats.

  • Installez VTZilla (gratuit). Il s'agit d'un module additionnel à Firefox et uniquement à Firefox qui modifie la boîte de téléchargement de Firefox et permet de solliciter VirusTotal avant le téléchargement. Génial et obligatoire. Notons que la boîte de téléchargement de Firefox, très intelligemment, ne permet jamais d'exécuter directement, ou d'ouvrir immédiatement un fichier, mais uniquement de le télécharger.

  • Installez VT Hash Check (gratuit). Il s'agit d'un outil qui s'installe dans le menu contextuel de l'Explorateur Windows. Clic droit sur n'importe quel fichier pour en demander immédiatement le statut, et l'envoyer à l'analyse s'il est inconnu. Génial et obligatoire.

VirusTotal - Sandbox gratuite en ligne

Qualité du service : 2/5

Sandbox Online (Behaviourial information - Informations comportementales)

Le service multi-antivirus en ligne VirusTotal effectue, depuis le 21 juillet 2012, une analyse comportementale des échantillons qui lui sont soumis (uniquement pour les échantillons de codes dont aucune version précédente n'a jamais été vue par VirusTotal auparavant, portables (sinon, il y aurait confusion avec le comportement de l'installeur) et de moins de 8 MO.

Cette analyse comportementale est faite avec la Cuckoo Sandbox, une Sandbox dont le code est open source, de Claudio Guarnieri, à laquelle VirusTotal à apporté quelques réglages additionnels pour ne produire qu'un court résumé.

La Cuckoo Sandbox d'origine est également disponible en service gratuit en ligne ici et ses résultats sont complets.

La Sandbox de VirusTotal est exploitée de manière asynchrone avec le service multiantivirus. Ses résultats apparaissent généralement un peu plus tard, dans un onglet appelé " Behaviourial information " (Informations comportementales).

VirusTotal IP Whois - IP Whois (Whois d'une adresse IP)

IP Whois (Whois d'une adresse IP)

Il s'agit de Web réputation robotisée d'une adresse IP. Normalement, l'adresse IP d'un utilisateur (d'un " client ") ne devrait jamais se trouver dans les bases de connaisssances de VirusTotal qui ne contiennent que des adresses IP de serveurs.

Cette consultation permet à VirusTotal de donner ce qui a déjà été trouvé sur ce serveur (à cette adresse IP). Est-ce une machine de confiance ?

VirusTotal produit une page récapitulative par adresses IP :

  • Liste des domaines trouvés sur ce serveur (reverse IP)
  • Liste des dernières URLs malicieuses trouvées sur ce serveur
  • Liste des derniers fichiers malicieux trouvés sur ce serveur
  • Liste des derniers fichiers analysés provenant de ce serveur et n'ayant été tagués par aucun antivirus (forte présomption qu'ils soient sains)
  • Liste des fichiers analysés partout ailleurs, dont le comportement en sandbox montre qu'ils ouvrent une communication avec ce serveur
  • Activité de spamming

Saisir une adresse IP valide

Utilisation de VirusTotal - VirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligneUtilisation de VirusTotalUtilisation de VirusTotal - VirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligne

Page d'accueil dépouillée : une boite de saisie avec 3 onglets - un service disponible dans 24 langues (en 2015) :

  1. Fichier - Choisir un fichier dans son ordinateur et le faire analyser.
     
  2. URL - recopier une URL et la faire analyser (Web Réputation) par VirusTotal qui agrège une soixantaine de services de Site de confiance tentant de répondre à la question " Est-ce un site de confiance ?").
     
  3. Rechercher - rechercher dans les bases de données de VirusTotal :
    • Un Condensat (Hashcode)
    • Une URL qui sera recherchée dans les analyses ou les commentaires de la communauté
    • Un nom de domaine qui qui sera recherchée dans les analyses ou les commentaires de la communauté
    • Un nom de produit (logiciel) qui qui sera recherchée dans les analyses ou les commentaires de la communauté
    • Un nom de virus qui qui sera recherchée dans les analyses ou les commentaires de la communauté
    • Un hashtag tel que peuvent les utiliser les membres de la communauté dans leurs commentaires
    • Etc. ...

Réserve :

Le service VirusTotal a été racheté par Google le 07 septembre 2012. C'est sans doute une bonne nouvelle pour la qualité du service (vitesse, disponibilité, augmentation de la taille maximum des fichiers uploadés, etc. ...) à condition que les intentions de Google soient de se servir, lors de ses crawl du Web pour indexation dans Google Search (le moteur), de ces analyses pour améliorer, par exemple, Google Safe Browsing.

Toutefois, la politique de croissance externe de Google (rachats, à tour de bras, de sociétés et services) est très lisible. Il s'agit d'enfermer la totalité des internautes du monde dans un Système Google (ou Principe d'encerclement).

Lien permanentMode d'emploi des services multi-antivirus gratuits en ligneEcrire

  1. Envoyer un fichier local à l'analyse antivirus.
    1. Se rendre sur la page du service (clic sur le bouton , en haut à droite de cette page).
    2. Le service offre un bouton permettant de naviguer, sur vos disques, afin de désigner le fichier (un seul à la fois) à analyser. Le bouton peut s'appeler ou ou etc. ... Cliquer sur ce bouton.
    3. Une fenêtre classique de l'explorateur de Windows s'ouvre. Naviguer jusqu'au fichier à analyser et le sélectionner puis cliquer sur le bouton (très mal nommé à ce stade) .
    4. Le chemin d'accès au fichier à analyser s'affiche dans la boîte de dialogue du service. Jeter un coup d'oeil afin de s'assurer que l'on envoi le bon fichier à l'analyse.
    5. Cliquer sur le bouton lançant l'envoi du fichier sur le serveur du service, envoi qui sera suivi de son analyse par le pack d'antivirus utilisé par le service. Le bouton peut s'appeler ou ou etc. ...
    6. Attendre que le résultat de l'analyse s'affiche, sans jamais demander de rafraîchissement de la page. L'attente est plus ou moins longue, dépendante de la taille du fichier qui doit être téléchargé à la vitesse de votre connexion Internet et de la charge des serveurs du service d'analyse antivirus (votre demande est mise en file d'attente et les demandes sont traîtées dans leur ordre d'arrivée. Selon la nationalité des services (fuseaux horaires), et leur notoriété, il y a des heures de très fortes charges où l'attente peut atteindre plusieurs minutes, et des heures creuses.
    Si le fichier a déjà été analysé par le service, il vous est proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). Vous pouvez demander à ce que ce fichier soit ré-analysé car, depuis la précédente analyse, les antivirus ont probablement été mis à jour (code et bases de données).

    Exemple d'une analyse par VirusTotal
    Analyse
    Ce KeyGen est dangereux
    Antivirus Résultat
    AVG BackDoor.Generic14.BPTG
    Agnitum Backdoor.Turkojan!GJutAUxqMys
    AntiVir TR/Kazy.32449.1
    Antiy-AVL Backdoor/Win32.Turkojan.gen
    BitDefender Gen:Variant.Kazy.2529
    CAT-QuickHeal Trojan.Orsam
    Comodo TrojWare.Win32.Agent.~ssf
    Emsisoft Gen:Variant.Kazy.32449 (B)
    F-Secure Gen:Variant.Kazy.2529
    Fortinet W32/SPNR.08K911!tr
    GData Gen:Variant.Kazy.2529
    Ikarus Trojan-Downloader.Banload
    Jiangmin Backdoor/Turkojan.etc
    K7AntiVirus Backdoor
    Kingsoft VIRUS_UNKNOWN
    McAfee Suspicious Keygen!rar
    McAfee-GW-Edition Suspicious Keygen!rar
    MicroWorld-eScan Gen:Variant.Kazy.2529
    Microsoft HackTool:Win32/Keygen
    Norman keygen.QD
    Panda Generic Backdoor
    Sophos Mal/Generic-L
    Symantec Trojan.Gen.2
    TheHacker Trojan/Ilomo.f
    TrendMicro TROJ_SPNR.08K911
    TrendMicro-HouseCall TROJ_SPNR.08K911
    VIPRE Trojan.Win32.Generic!BT
    eSafe Win32.PCKEnigma

  2. Faire analyser un fichier sur son lieu d'hébergement, avant de le télécharger
    Certains services (VirusTotal, ) permettent, alternativement, de saisir une URL afin de demander l'analyse d'un fichier se trouvant sur un serveur. Il est donc possible de demander l'analyse d'un fichier avant de le télécharger, ce qui évite la perte de temps de télécharger un objet qui va se révéler être un virus qu'il faudra ensuite détruire (et cela économise la bande passante de la connexion Internet).
    Pour obtenir le lien à soumettre, faire un clic droit (clic avec le bouton droit de la souris) sur le lien ou le bouton qui permet le téléchargement en question (le bouton qui s'appelle ou etc. ...). Une petite fenêtre dite "contextuelle" s'ouvre qui comporte, entre autres, l'option "Copier l'adresse du lien". Cliquer sur cette option, revenir à la page du service multi-antivirus gratuit en ligne, chercher l'endroit où il propose de soumettre une URL et coller l'URL que vous venez de copier à cet endroit puis validez.
    Notons qu'il n'est pas toujours possible d'obtenir l'URL d'un fichier (de nombreux sites camouflent l'emplacement exact de manière à empêcher le téléchargement direct et à obliger à passer par des cascades de pages bourrées de publicités).

    Télécharger ou Exécuter

    Vous ne devez jamais ouvrir (ou exécuter) un fichier en même temps que son téléchargement. Vous devez choisir de simplement le télécharger, sans qu'il soit ouvert / exécuter. Ceci vous donne le temps de le faire analyser et de mesurer sa dangerosité ou son innocuité, avant de décider s'il est opportun de l'ouvrir. Si votre navigateur n'est pas fichu de vous proposer cela, changez de navigateur et passez à Firefox.


  3. Rechercher si un fichier a déjà été analysé par l'un de ses hashcodes (MD5, SHA-1, SHA-256)
    Certains services conservent les résultats d'analyses et permettent de rechercher ce résultat antérieur à partir d'un "chiffre clé" (hashcodes selon les algorithmes MD5, SHA-1, SHA-256) du fichier analysé. C'est un gain de temps énorme et, si le fichier a déjà été analysé, les résultats s'affichent immédiatement. Si l'analyse n'a que peu d'antériorité (quelques heures à quelques jours), et qu'elle comporte de nombreux signalements, il n'est pas utile de ré-analyser l'objet. Si le fichier n'a fait l'objet d'aucun signalement, il est préférable de demander une nouvelle analyse, sachant que les bases de signatures des antivirus sont mises à jour des dizaines de fois par heure.
    Pour calculer le chiffre clé d'un fichier présent sur votre ordinateur, il existe divers outils dont, recommandé : HashTab.


  4. Taille maximale des fichiers selon les services antivirus gratuits en ligne
    Le fichier dont on demande l'analyse ne doit pas dépasser :
    • 128 méga octets pour le service VirusTotal
    • 25 méga octets pour le service Jotti
    • 20 méga octets pour le service VirScan
    • 150 méga octets pour le service MetaScan


  5. Astuce pour faire analyser de très gros fichiers par un service multi-antivirus gratuit
    Une archive multi-volumes est une archive découpée en plusieurs fichiers dont on limite la taille pour diverses raisons : par exemple, mettre sur un serveur une archive de 1GO alors que le serveur n'accepte pas des envoies de fichiers de plus de 100MO. L'outil de compression / décompression verra le tout comme une archive unique tandis que la limite sera contournée. Un usage typique est l'envoi à l'analyse antivirale en ligne d'un fichier dont la taille dépasse la taille maximum autorisée par le service (VirusTotal, Jotti, VirScan...).

    Il faut utiliser un outil de compression (archivage) multi-volumes et donner à cet outil l'ordre de compresser le/les fichiers en une archive multivolume dont la taille de chaque "volume" est, au plus, égale à la taille maximum cible.

    Il est ainsi possible de sauvegarder une archive de plusieurs GO sur des disquettes de 1,44 MO.
    Il est ainsi possible de faire analyser les archives une par une, par des services comme VirusTotal, Jotti, VirScan... comme autant de fichiers séparés

    Cas particulier des analyses antivirales d'archives multi-volumes :
    • Dans le cas d'une grosse archive découpée en plusieurs petits volumes, les antivirus ne pourront travailler qu'en analyse de signatures virales. Les analyses de type Sandbox, machines virtuelles, analyses heuristiques etc. ... sont impossibles.
    • Il y a un risque, minime mais réel, qu'une signature virale ne soit pas détectée car à cheval sur la coupure entre deux volumes. Pour y remédier, faire un second découpage en volumes de tailles différentes. Par exemple, si on souhaite faire analyser un gros fichier suspect par un service multi-antivirus en ligne, comme VirusTotal, sachant que ce service limite la taille des fichiers (par exemple, taille maximum de 32MO), faire un premier archivage en volumes de 30MO et un second en volumes de 31MO.
    L'outil d'archivage idéal pour faire des archives multi-volumes est le célèbre 7-Zip, Open Source et gratuit.
    • Installer 7-Zip (version 32bits ou 64bits selon le système Windows cible)
    • Dans l'Explorateur Windows, sélectionner le fichier à compresser en une archive multi-volumes.
    • Faire un clic droit sur le nom du fichier. Un menu contextuel s'ouvre.
    • Sélectionner 7-Zip puis cliquer sur "Ajouter à l'archive".
    • Dans la fenêtre du programme 7-Zip qui s'ouvre, un nom d'archive est proposé, basé sur le nom du fichier à archiver et suivi d'une extension .7z (extension standard des fichiers compressés avec l'algorithme de compression de 7-Zip).
    • Ajouter un symbole quelconque (caractères légaux dans un nom de fichier Windows) devant ou derrière le nom du fichier. Par exemple, si le fichier à compresser est grosfichier.exe, le nom proposé pour l'archive est grosfichier.7z. Modifiez-le, par exemple, en grosfichier_.7z ou _grosfichier.7z ou archive_suspecte_grosfichier.7z etc. ... Ceci va permettre d'éviter d'éventuels ambiguïtés avec d'autres noms de fichiers proches ou avec votre mémoire lorsque vous reviendrez sur cette archive plus tard, après avoir oublié de quoi il s'agit.
    • Si le destinataire de l'archive, par exemple un service comme VirusTotal, Jotti, VirScan..., a spécifié un format d'archive qu'il sait décompresser, à l'exclusion d'autres formats, sélectionner, dans "Format de l'archive", le format souhaité. Pour les soumissions aux services d'analyse antivirus en ligne, utiliser le format "Zip".
    • Dans la boîte de dialogue "Découpez en volumes, octets", saisir, par exemple, 18M pour un découpage en volumes de 18MO.
    • Clic sur Ok.
    • La compression avec découpage multi-volumes se déroule et vous obtenez une série de fichiers portant le nom de l'archive postfixé .001, .002, .003 etc. ...
    • Manipuler ces fichiers comme autant de fichiers séparés (ou les laisser groupés dans le même répertoire pour l'outil de décompression qui les verra tous comme un unique grand fichier).


  6. Nombre maximal de fichiers dans une archive, selon les antivirus gratuits en ligne
    Une archive compressée peut contenir de nombreux fichiers, toutefois les services d'analyse multi-antivirus ne donnent qu'une limite de taille de l'archive, pas de limite du nombre de fichiers. Seul VirSCAN signale qu'il supporte la décompression Rar/Zip mais qu'il doit y avoir moins de 20 fichiers dans une archive.


  7. Passer le barrage de l'antivirus local pour uploader vers un antivirus gratuit en ligne
    Vous souhaitez faire analyser un fichier par un service multi-antivirus en ligne mais votre antivirus local vous empêche de manipuler ce fichier (de l'uploader) car il est détécté comme comportant un virus. Ne jamais désactiver votre antivirus ! Simplement compresser le fichier avec un outil d'archivage (7-Zip, par exemple, gratuit) et protéger cette archive avec un mot de passe, ce qui empêchera votre antivirus de l'analyser. Le mot de passe doit, par contre, être reconnu par le service multi-antivirus en ligne (le service VirSCAN signale qu'il peut détecter un fichier compressé avec le mot de passe 'infected' ou 'virus').

Liste des antivirus de VirusTotalListe des antivirus de VirusTotalListe des antivirus de VirusTotal

Les 57 antivirus suivants (au 22.11.2014) sont utilisés, tous dans leur mise à jour la plus récente. Ce nombre peut varier d'un moment à un autre (plantage de l'un des serveurs...). Les intervenants en Web réputation constituent une autre liste de partenaires de VirusTotal, qui ne se recoupe que partiellement avec celle des éditeurs d'antivirus :

# Antivirus agissants au sein du service VirusTotal (éditeur)
ALYac (ESTsoft Corp. Corée) Utilise leur moteur (Tera) et celui de BitDefender.
Dito Roboscan
AVG (AVG Technologies)
AVware (BluePex)
Ad-Aware (Lavasoft)
AegisLab (AegisLab)
Agnitum (Agnitum)
AhnLab-V3 (AhnLab)
AntiVir (Avira)
Antiy-AVL (Antiy Labs)
Avast (Alwil)
Baidu-International (Baidu)
BitDefender (BitDefender GmbH)
Bkav (Bkav Corporation)
ByteHero (ByteHero Information Security Technology Team)
CAT-QuickHeal (Cat Computer Services)
CMC
ClamAV
Commtouch
Comodo
Cyren
DrWeb
ESET-NOD32
Emsisoft
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
McAfee
McAfee-GW-Edition
MicroWorld-eScan
Microsoft
NANO-Antivirus
Norman
Panda
Qihoo-360
Rising
SUPERAntiSpyware
Sophos
Symantec
Tencent
TheHacker
TotalDefense
TrendMicro
TrendMicro-HouseCall
VBA32
VIPRE
ViRobot
Zillya
Zoner
nProtect
# Antivirus Un exemple d'analyse d'un fichier par le service VirusTotal

Mise à jour
AVG PSW.OnlineGames.2.P 20141104
AVware Trojan.Win32.Generic!SB.0 20141104
Ad-Aware Trojan.PWS.Onlinegames.KEAN 20141104
AegisLab 20141104
Agnitum Trojan.Lineage.Gen!Pac.3 20141103
AhnLab-V3 Win-Trojan/Malpacked2.Gen 20141103
Antiy-AVL Trojan[Packed]/Win32.Krap 20141104
Avast Win32:Oliga [Trj] 20141104
Avira TR/OnlineGam.128754 20141104
Baidu-International Trojan.Win32.Krap.aZm 20141103
BitDefender Trojan.PWS.Onlinegames.KEAN 20141104
Bkav W32.KavaGF.Worm 20141104
ByteHero 20141104
CAT-QuickHeal Win32.PWS.Frethog.AJ.3 20141104
CMC Generic.Win32.055046161e!CMCRadar 20141104
ClamAV Trojan.Spy-46314 20141104
Comodo TrojWare.Win32.PSW.OnLineGames.NNU 20141104
Cyren W32/OnlineGames!Generic 20141104
DrWeb Trojan.Nsanti.Packed 20141104
ESET-NOD32 Win32/PSW.OnLineGames.NNU 20141104
Emsisoft Trojan.PWS.Onlinegames.KEAN (B) 20141104
F-Prot W32/OnlineGames!Generic 20141104
F-Secure Trojan.PWS.Onlinegames.KEAN 20141104
Fortinet W32/PackGamania.A!tr 20141104
GData Trojan.PWS.Onlinegames.KEAN 20141104
Ikarus Packed.Win32.Krap 20141104
Jiangmin Packed.Krap.Gen.a 20141103
K7AntiVirus Password-Stealer ( 0001a8f31 ) 20141103
K7GW Password-Stealer ( 0001a8f31 ) 20141104
Kaspersky Packed.Win32.Krap.b 20141104
Kingsoft Win32.Troj.ObfuscatedT.ty.27648 20141104
Malwarebytes 20141104
McAfee PWS-Gamania.gen.a 20141104
McAfee-GW-Edition BehavesLike.Win32.PWSGamania.cc 20141104
MicroWorld-eScan Trojan.PWS.Onlinegames.KEAN 20141104
Microsoft Worm:Win32/Taterf.B 20141104
NANO-Antivirus Trojan.Win32.NSAnti.fthc 20141104
Norman OnLineGames.BQLF 20141104
Qihoo-360 Win32/Trojan.PSW.0de 20141104
Rising PE:Trojan.Win32.Generic.122E0396!305005462 20141103
SUPERAntiSpyware 20141104
Sophos Mal/EncPk-CE 20141104
Symantec Trojan.Packed.NsAnti 20141104
Tencent Win32.Trojan-gamethief.Onlinegames.Dum 20141104
TheHacker Trojan/OnLineGames.sakf 20141104
TotalDefense Win32/Frethog.BPY 20141103
TrendMicro WORM_ONLINEG.UGW 20141104
TrendMicro-HouseCall WORM_ONLINEG.UGW 20141104
VBA32 OScope.Pacex.A 20141103
VIPRE Trojan.Win32.Generic!SB.0 20141104
ViRobot Trojan.Win32.PSWIGames.128754 20141104
Zillya Trojan.OnLineGames.Win32.43633 20141103
Zoner Trojan.OnLineGames.NNU 20141031
nProtect Trojan-PWS/W32.WebGame.128754 20141103
# Un exemple d'analyse d'une URL par le service VirusTotal Résultat
ADMINUSLabs Clean site
AegisLab WebGuard Clean site
AlienVault Clean site
Antiy-AVL Clean site
AutoShun Unrated site
Avira Clean site
Baidu-International Clean site
BitDefender Clean site
Blueliv Clean site
C-SIRT Clean site
CLEAN MX Clean site
CRDF Clean site
Comodo Site Inspector Clean site
CyberCrime Clean site
Dr.Web Clean site
ESET Clean site
Emsisoft Clean site
Fortinet Clean site
FraudSense Clean site
G-Data Clean site
Google Safebrowsing Clean site
K7AntiVirus Clean site
Kaspersky Unrated site
Malc0de Database Clean site
Malekal Clean site
Malware Domain Blocklist Clean site
MalwareDomainList Clean site
MalwarePatrol Clean site
Malwarebytes hpHosts Clean site
Malwared Clean site
Netcraft Unrated site
OpenPhish Clean site
Opera Clean site
PalevoTracker Clean site
ParetoLogic Clean site
PhishLabs Unrated site
Phishtank Clean site
Quttera Clean site
Rising Clean site
SCUMWARE.org Clean site
SecureBrain Clean site
Sophos Unrated site
Spam404 Clean site
SpyEyeTracker Clean site
StopBadware Unrated site
Sucuri SiteCheck Clean site
Tencent Clean site
ThreatHive Clean site
Trustwave Clean site
URLQuery Unrated site
VX Vault Clean site
Web Security Guard Clean site
Websense ThreatSeeker Unrated site
Webutation Clean site
Wepawet Clean site
Yandex Safebrowsing Clean site
ZCloudsec Clean site
ZDB Zeus Clean site
ZeusTracker Clean site
malwares.com URL checker Clean site
zvelo Clean site

Comparaison VirusTotal vs MetascanComparaison VirusTotal vs MetascanComparaison VirusTotal vs Metascan

Lors d'un test conduit le 22.02.2013, comparant une analyse du même fichier, au même moment, entre les services multi-antivirus VirusTotal et MetaScan, sur un nombre similaire d'antivirus utilisés, 23 moteurs utilisés par VirusTotal signalent un problème dans un fichier de test tandis que seuls 13 moteurs utilisés par MetaScan signalent un problème dans le même fichier.

  1. On peut en déduire que de nombreux moteurs utilisés dans le pack MetaScan, qui n'utilise que des antivirus sous Linux, sont "marginaux" dans leurs bases de signatures et leurs anlyses heuristiques de fichiers du monde Windows.
  2. L'intérêt de MetaScan est qu'il accepte (novembre 2014) des fichiers de 140MO contre seulement 64MO chez VirusTotal (depuis le 12 avril 2013) 128 MO chez VirusTotal (depuis le 21.11.2014).

Consuter les résultats de cette analyse par VirusTotal et MetaScan, au même moment.


Histoire de la naissance de VirusTotalHistoire de la naissance de VirusTotalHistoire de la naissance de VirusTotal

Depuis des années, depuis nos toutes premières pages de sécurité informatique, qui ont commencé en 1997, Assiste (qui ne s'appelait pas Assiste à l'époque) vous recommande de ne jamais ouvrir (exécuter, lire...) un fichier avant de l'avoir fait analyser par votre antivirus.

En 2004 apparaît publiquement le tout premier service d'agrégation de scanners antivirus, appelé VirusTotal. Il est développé par Julio Canto, au sein d'une société espagnole de sécurité informatique, Hispasec (Hispasec Sistemas). Aujourd'hui, c'est environ 60 antivirus qui sont mis en œuvre simultanément.

Rapidement, nous vous recommandons de soumettre vos fichiers téléchargés à ce service d'analyses multi-antivirus avant de les ouvrir, quelle que soit la nature de ces fichiers, exécutables ou non (liste de types de fichiers potentiellement dangereux, dont il faut se méfier et qui doivent toujours être analysés).

L'intérêt des services multi-antivirus est double :

  • Pour l'internaute
    Possibilité de faire analyser, gratuitement, un fichier par une collection d'antivirus, dont les plus grands, simultanément et instantanément.
  • Pour les éditeurs d'antivirus
    Réception systématique des fichiers dans lesquels ils n'auraient rien détecté alors que des confrères (et néanmoins concurrents) y auraient trouvé quelque chose. C'est une source inespérée, et la plus efficace possible, de remontée de fichiers suspects (échantillons de virus). Le principe relève du Crowdsourcing.

Mais, jusque là, et dans tous les cas, il était nécessaire de :

  1. Télécharger d'abord le fichier, depuis le site de téléchargement (l'éditeur du logiciel) vers votre ordinateur.
  2. Se rendre sur le site de VirusTotal et désigner, dans son ordinateur, le fichier à analyser
  3. Envoyer (uploader) le fichier sur les ordinateurs de VirusTotal.

Cela faisait beaucoup de temps perdu et d'utilisation inutile de la bande passante de la connexion Internet si, finalement, le fichier était piégé et vous n'en aviez donc pas besoin.

Puis, VirusTotal a introduit la possibilité, non plus de seulement désigner, dans l'ordinateur de l'utilisateur, le fichier à analyser, mais de le désigner par son URL de téléchargement sur le WEB, donc de l'analyser depuis le serveur de celui qui le propose en téléchargement, avant de le télécharger.

C'est mieux, mais ceci nécessite encore de copier le lien, d'aller sur le site de VirusTotal, de coller le lien et de lancer la demande d'analyse.

Des outils autour de VirusTotal sont alors apparus :

  1. VTZilla (gratuit).
    Un module additionnel à Firefox et uniquement à Firefox qui modifie la boîte de téléchargement de Firefox. Génial - obligatoire.
    Notons que la boîte de téléchargement de Firefox, très intelligemment, ne permet jamais d'exécuter directement, ou d'ouvrir immédiatement un fichier, mais uniquement de le télécharger.
  2. VTexplorer (gratuit).
    Dans le même esprit que VTZilla mais pour Internet Explorer.
  3. VTchromizer (gratuit).
    Dans le même esprit que VTZilla mais pour Google Chrome.
  4. VTHashCheck (gratuit).
    Addition aux menus contextuels de l'Explorateur Windows. Génial - obligatoire.

Pour des raisons assez obscures et profondément suspectes, Internet Explorer et Google Chrome :

  • Empêchent la modification de la boîte de dialogue de téléchargement
  • Permettent l'exécution immédiate d'une application que l'on souhaite télécharger (ou l'ouverture immédiate d'un fichier), sans passer par la phase de téléchargement qui permet une phase intermédiaire d'analyse.

Google, qui s'est approprié Chrome et a racheté le service VirusTotal le 07 septembre 2012, n'a toujours pas développé les APIs nécessaires aux ajustements des boîtes de dialogue, dont celle de téléchargement (vérifié le 22.11.2014, soit plus de deux ans après le rachat de VirusTotal).


VTZilla - VirusTotal - Attention aux faux fichiers téléchargés - Les downloadersVTZilla – VirusTotal – Attention aux faux fichiers téléchargés – Les downloadersVTZilla - VirusTotal - Attention aux faux fichiers téléchargés - Les downloaders

Les sites qui ont quelque chose à cacher passent par des étapes intermédiaires dont l'analyse donne des résultats apparents "propres". C'est le cas avec l'usage de downloaders (logiciels téléchargeurs). Dans ces cas là, lorsque l'on utilise le service VirusTotal (ou n'importe quels autres services multi-antivirus en ligne, ou n'importe quel antivirus installé dans son ordinateur, ou lorsque l'on utilise VTZilla), c'est le downloader qui est analysé. Le lien sur lequel vous cliquez est, en réalité, celui d'un downloader (un logiciel téléchargeur). Lui est toujours " propre ". Il en est ainsi de tous les sites qui ne permettent pas de télécharger directement le fichier convoité.

Une fois votre vigilance endormie, vous croyez lancer l'exécution du programme " propre " que vous croyez venir de faire analyser et de télécharger. En réalité vous activez le downloader (téléchargeur) :

  1. Le downloader (téléchargeur) lance enfin le téléchargement du fichier convoité.
  2. Le downloader va éventuellement lancer l'installation du fichier téléchargé, s'il s'agit d'un programme, de manière à vous empêcher d'analyser le téléchargement AVANT son ouverture / exécution.
  3. Le téléchargeur va parfois télécharger et installer, silencieusement (à l'insu de l'utilisateur), d'autres choses non sollicitées, dont vous n'avez absolument pas besoin et absolument pas la maîtrise. Des choses agaçantes et violant la vie privée, comme des logiciels publicitaires (adwares), et/ou des choses beaucoup plus dommageables et cybercriminelles (zombification de l'ordinateur, spyware, keylogger, virus, malwares, logiciels non désirés (PUP, LPI, qui vont vous harceler pour être achetés, comme la longue litanie des crapwares et scarewares (faux logiciels de sécurité, faux logiciels d'accélération de l'ordinateur, dramatiques logiciels de nettoyages du Registre Windows, etc. ...).

Ce qui reste étonnant et chagrin, depuis des années, est que, dans l'agrégation VirusTotal, comme dans les autres services multi-antivirus en ligne, plusieurs outils fonctionnent en sandboxing et devraient donc exécuter le downloader (téléchargeur) et voir quel est (quels sont) le/les fichiers téléchargés par le downloader (téléchargeur). Ces fichiers sont généralement "hardcodés" (les URL vers les téléchargements sont figées dans le code du downloader) et même un cryptage du code doit être, à un moment donné, traduit en un simple lien de type HTTP, HTTPS ou FTP vers une ressource. VirusTotal devrait donner la liste de ces appels à des ressources externes, les analyser également et alerter l'utilisateur.


Rachat de Virustotal par GoogleRachat de Virustotal par GoogleRachat de Virustotal par Google

VirusTotal a été racheté par Google le 07 septembre 2012. C'est sans doute une bonne nouvelle pour la qualité du service (vitesse, disponibilité, augmentation de la taille maximum des fichiers uploadés) à condition que les intentions de Google soient de se servir, lors de ses crawl, de ces analyses pour améliorer, par exemple, Google Safe Browsing. Toutefois, la politique de croissance externe de Google (rachats, à tour de bras, de sociétés et services) est très peu lisible. Chacun des plus de 120 "services gratuits" de Google doit être considéré comme une brique d'un vaste système d'espionnage des internautes enfermant chaque internaute dans une prison que l'internaute lui-même élève autour de lui. La déclaration du président de Google ne laisse aucun doute la-dessus :
Google - Connaître (découvrir et piller) et espionner vos cercles de connaissances - Pourquoi - Comment.
Google et le principe d'encerclement : Null n'échappera à Google.

Réglages des antivirus :
Les antivirus sont utilisés en mode "Ligne de commande" et sont réglés en mode " parano ", ce qui permet de détecter plus de choses, mais aussi d'augmenter le nombre de Faux positifs.

Certains antivirus du panel VirusTotal sont réglés en mode " Parano "

On trouve cette information dans la FAQ de VirusTotal :

A given antivirus in VirusTotal detects a file and its equivalent commercial version does not

VirusTotal antivirus solutions sometimes are not exactly the same as the public commercial versions. Very often, antivirus companies parametrize their engines specifically for VirusTotal (stronger heuristics, cloud interaction, inclusion of beta signatures, etc.). Therefore, sometimes the antivirus solution in VirusTotal will not behave exactly the same as the equivalent public commercial version of the given product.

Porté à notre attention par VirusKeeper dans ce fil de discussion sur PCastuces.

Attention : Un produit ou service antivirus "on-demand" ne remplace pas et ne remplacera jamais un véritable antivirus.

Rien de ce qui est téléchargé dans votre ordinateur ne doit être ouvert ou exécuté avant d'avoir été analysé. Faites analyser un téléchargement gratuitement immédiatement, avec de multiples antivirus simultanés, avant sa première ouverture.

Les produits ou services fonctionnant à la demande, et non pas en temps réel, qu'ils soient installés localement ou en ligne, ne servent qu'à vous aider à estimer l'innocuité ou la dangerosité d'un objet (fichier). Les produits ou services on-demand, incluant la plupart des outils gratuits et des versions gratuites des produits commerciaux, ne protègent pas votre ordinateur et ne vous protègent pas. Ces outils arrivent trop tard, après l'infection et ses dégâts ! Seuls les outils fonctionnant on-acces (en temps réel) vous protègent.